在pfSense上为HAProxy配置使用LetsEncrypt

本文介绍如何将 HAProxy 配置为使用 LetsEncrypt 来自动管理证书,以确保 HAProxy 后面的Web服务器上的证书受到 SSL 安全保护。

在开始介绍之前,有一些要点必须要说明:

  • 你必须有权管理 Web 服务器域名所在的DNS区域。
  • LetsEncrypt 分发证书,必须证明你是域的所有者。有两种方法;一是让 LetsEncrypt 使用公开可用的 DNS 记录与 LetsEncrypt 客户端(本示例中为 HAProxy)通信,二是检查 DNS 区域内的记录,如果找到,将证明你有权访问管理该区域。本示例使用第二种方法。

基本操作流程: Internet 上的 Web 浏览器要访问网站。浏览器在 DNS 中找到的 IP 地址发送请求,HAProxy 将回答该请求。HAProxy 建立到内部 Web 服务器的连接,并成为浏览器和 Web 服务器之间的代理。

LetsEncrypt有两个阶段;与客户端( HAProxy)建立信任,并在旧证书即将到期时获取新证书和/或首先获取证书。信任阶段的工作方式如下:

  1. 请求 HAProxy 生成密钥并根据你的密钥将所需的身份信息发送给 LetsEncrypt。
  2. LetsEncrypt 为你创建一个帐户并回复验证信息。
  3. LetsEncrypt 要求你在所需的 DNS 区域中创建并填充新的 TXT 记录。
  4. 你创建 TXT 记录并要求 LetsEncrypt 对其进行验证。
  5. LetsEncrypt 验证 TXT 记录,现在知道你的帐户与指定域相关联。

下面开始配置步骤。

首先需要配置 LetsEncrypt。登录pfSense,安装“acme”插件:

安装完成后,转到“服务”、“Acme”,然后转到“帐户密钥”选项卡。

按照下面的格式填写相应信息,“ACME Server”选择为“Production”的,你也可以使用“Test”服务器。单击“创建新帐户密钥”、“注册 ACME 帐户密钥”,然后单击“保存”按钮。

单击“证书”选项卡。单击“添加”按钮。

按照下图格式填写信息。域名字段填写 FQDN,“方法”设置为“DNS-Manual”。也可以根据自己的DNS供应商情况选择合适的方法。后面还要将 DNS TXT 记录添加到域中。

完成后,单击“保存”按钮。

现在返回证书列表,点击“颁发(Issue)”按钮:

页面上会出现大量“绿色”字符的内容,如下所示:

从输出内容上,必须注意以下几点:

[Fri Jan 8 17:19:38 ACDT 2021] Add the following TXT record:
[Fri Jan 8 17:19:38 ACDT 2021] Domain: ‘_acme-challenge.secure.agix.com.au’
[Fri Jan 8 17:19:38 ACDT 2021] TXT value: ‘lkjHJGfKUyFgJH78YUiJLHkgfRTfKUYJHiH’

这里显示的“TXT 值”,需要将其添加为相应域的新TXT DNS 记录。在本示例的cloudflare DNS主机上,添加的TXT记录如下:

现在返回到 LetsEncrypt 设置,单击“续订(Renew)”按钮,将得到一个新的证书。

可以设置计划任务让 LetsEncrypt 自动更新证书。在“General Settings”选项卡中,选中“Cron Entry”选项,单击“保存”按钮。

下面来设置HAProxy,进入pfSense,安装HAProxy插件。

转到“服务”、“HAProxy”并转到“设置”选项卡。

将“Max SSL …”的值设置为“2048”。然后点击“保存”按钮。

转到“后端”选项卡,参照下图进行设置。

注意:本示例内部 Web 服务器侦听端口为“5000”,但如果要进行端到端加密,服务器将会侦听端口“80”或“443”,本示例不讨论。

HAProxy 需要一种方法来确定内部 Web 服务器的状态(启动或关闭)。本示例已将其关闭,可以根据需要使用某一种方法。

单击“保存”和“应用更改”按钮。

转到“前端”选项卡,参照下图进行设置。

设置“默认后端”。将其设置为您之前创建的“后端”。

设置要使用的证书。

单击“保存”和“应用更改”按钮。

最后一步,添加规则允许流量通过防火墙。在防火墙的“WAN”接口选项卡上,添加规则确保设置的端口能从外部进行访问。

注意事项:

  1. 确保不要在 HAProxy 的同一端口/接口上运行 pfSense 强制门户。可以将访问pfSense的强制门户端口更改为“8443”之类的端口。
  2. 如果在使用证书时出错,可以随时重新“颁发”并重新“更新”。但建议先从pfSense的“证书”管理中删除它们。

发表评论

您的电子邮箱地址不会被公开。 必填项已用*标注